一步一步教你配置硬件防火墙
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Dmz Int •192.168.1.1 •172.16.1.1
中兴防火墙) 端口映射策略截图(中兴防火墙)
允许从外网访问映射的服务
防火墙配置使用技巧
1 、单独配置一个接口做管理口 2 、只允许可管理 IP能直接访问防火墙 3 、VPN和阻止策略放在最前面 4、尽量定义一组对象并对组做策略 5 、监控防火墙的CPU及内存使用率、连接数是否有 异常,熟悉并利用防火墙的各类日志信息进行相应 管理 6 、对配置经常备份
防火墙(双机) DMZ区 区 外部服务器 (AM、电子 商务等) SDH专线 防火墙 核心三层交换机 路由器 路由器 三层交换机
一级骨干网络; 二级内部网络; 三级内部网络; 四级内部网络。
防火墙/VPN
防火墙 VPN
防火墙 VPN
双核心交换机冗 余
VPN
三层交换机
汇聚层交换机
双三层交换机冗 余
汇聚层交换机
终端
应用服务器
终端
应用服务器
终端
应用服务器
集团总部
二级公司
三级公司
• 1、连接防火墙(consol口或默认IP) • 2、设置防火墙内、外网接口IP • 3、配置路由 默认路由:电信或网通提供的网关IP 内网路由:内网三层接口IP
防火墙的管理:接口IP
防火墙的管理:配置路由
默认路由、静态路由、动态路由
一步一步配置 硬件防火墙
集团信息技术总部 2009年9月 年 月 苏亮
提纲
• 防火墙的配置准备(位置、接口IP、路由) • 防火墙的NAT策略
NAT上网、时间限制、服务限制、连接数限制、带 宽限制……..
• 防火墙的端口映射 备注:主要是中兴防火墙配置
防火墙的配置准备
一、九州通网络拓朴
VPN
Internet接入switch 双防火墙冗余
防火墙的NAT策略 策略 防火墙的
什么是NAT(网络地址转换) (网络地址转换) 什么是
• 网络地址转换(NAT,Network Address Translation)被广泛应用于各种 网络地址转换 类型Internet接入方式和备种类型的网络中。原因很简单,NAT不仅完美 地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻 击,隐藏并保护网络内部的计算机。
是不确定的,而是随机的,所有被授权访问上Internet的私有IP地址可随机 转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进 行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动 态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络 内部的计算机数量时。可以采用动态转换的方式。
端口有什么用呢?我们知道,一台拥有IP地址的主机可以提供许多服务,比如 Web服务、FTP服务、SMTP服务等,这些服务完全可以通过1个IP地址来实现。那 么,主机是怎样区分不同的网络服务呢?显然不能只靠IP地址,因为IP 地址与网络服 务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区 分不同的服务的。 (源端口/目的端口) 服务器一般都是通过知名端口号来识别的。例如,对于每个TCP/IP实现来说, FTP服务器的TCP端口号都是21,每个Telnet服务器的TCP端口号都是23,每个 TFTP(简单文件传送协议)服务器的UDP端口号都是69。任何TCP/IP实现所提供的服 务都用知名的1~1023之间的端口号。这些知名端口号由Internet号分配机构 (InternetAssignedNumbersAuthority,IANA)来管理。
复杂的NAT策略 策略 复杂的
• • • • • • 时间限制 流量限制 连接数限制 应用限制 网址限制 下载限制
NAT策略截图(中兴防火墙) 策略截图 中兴防火墙)
如何做端口映射
1、保证需要映射的服务在内网访问正常,明确使用的IP 及端口 2、要使用的外网IP(只能是硬件防火墙可以使用的)及 对外的端口 3 、定义该端口并做端口映射 4 、做允许外网用户访问该服务的规则 5 、测试
防火墙管理:管理员及管理IP设置
管理员权限:超级管理员、管理员、只读 管理IP:只有可信的管理IP才能直接访问防火墙
防火墙相关概念
什么是计算机端口
如果把IP地址比作一间房子 ,端口就是出入这间房子的门。真正的房子只有几个 门,但是一个IP地址的端口 可以有65536个之多!端口是通过端口号来标记的,端口 号只有整数,范围是从0 到65535。
特点: 特点:
只有一个公有IP,具有三个不同 的服务器 内部网访问Internet需要做 NAT 内外网访问DMZ区的服务器需 要做SAT (端口映射)
61.156.37. 101/30 •61.156.37 Ext .102/30 NAT
Internet
SAT
WWW服务器 172.16.1.2 80 服务器
医 健
药 康
通 送
பைடு நூலகம்
谢 谢!
九 万
州 家
JOINTOWN GROUP CO., LTD.
24
NAT实现方式 实现方式
• 静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是
一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借 助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器) 的访问。
• 动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对
什么是端口映射
端口映射:内网的一台电脑要上因特网对外开放服务或接收数据,都需要 端口映射。 端口映射分为动态和静态.动态端口映射:内网中的一台电脑要访问新浪网, 会向NAT网关发送数据包,包头中包括对方(就是新浪网)IP、端口和本机IP、 端口,NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口, 并且会记下这个映射关系,为以后转发数据包使用。然后再把数据发给新浪网, 新浪网收到数据后做出反应,发送数据到NAT网关的那个未使用的端口,然后 NAT网关将数据转发给内网中的那台电脑,实现内网和公网的通讯.当连接关 闭时,NAT网关会释放分配给这条连接的端口,以便以后的连接可以继续使用。 动态端口映射其实也就是NAT网关的工作方式。 静态端口映射: 就是在NAT网关上开放一个固定的端口,然后设定此端口 收到的数据要转发给内网哪个IP和端口,不管有没有连接,这个映射关系都会 一直存在。就可以让公网主动访问内网的一个电脑。
internet
Gateway:211.154.0.1/24 WAN:211.154.0.6 211.154.0.7(Nat以后地址) ( 以后地址) 以后地址
Internal:192.168.1.1/24 Catalyst 2924
192.168.1.0/24
策略必须包含以下信息: 策略必须包含以下信息 • 源IP • 目标IP • 服务(目标端口) • 行为:允许 /拒绝
•
借助于NAT,私有(保留)地址的“内部”网络通过路由器发送数据包时,私 有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1 个)即可实现私有地址网络内所有计算机与Internet的通信需求。
•
NAT将自动修改IP报文头中的源IP地址和目的IP地址,Ip地址校验则在 NAT处理过程中自动完成。